Cyberkriminelle nutzen CrowdStrike-Update-Panne zur Malware-Verbreitung
Nach den weltweiten IT-Störungen durch ein fehlerhaftes CrowdStrike-Update fürchten Experten nun gezielte Cyberangriffe. Kriminelle Hacker nutzen die Situation aus, indem sie sich als Retter in der Not tarnen und gefälschte Hotfixes verbreiten.
Das Cybersecurity-Unternehmen CrowdStrike, das für weltweite IT-Störungen durch ein fehlerhaftes Update für Windows-Geräte verantwortlich gemacht wird, warnt jetzt davor, dass Angreifer die Situation ausnutzen. Die Kriminellen tarnen sich als Hotfix-Anbieter, vergiften ihren Fix aber mit der Schadsoftware Remcos RAT. Bislang sind primär Unternehmen in Lateinamerika betroffen.
Die Angreifer verteilen eine ZIP-Datei mit der Bezeichnung „crowdstrike-hotfix.zip„. Darin ist der Malware-Loader „Hijack Loader“ (auch bekannt als DOILoader oder IDAT Loader) verpackt, der seinerseits die Remcos RAT-Malware startet. Die ZIP-Datei enthält auch eine Textdatei („instrucciones.txt“) mit Anweisungen auf Spanisch. Diese fordert die Zielpersonen auf, eine ausführbare Datei („setup.exe“) zu starten, um das Problem zu beheben.
CrowdStrike erklärt, dass die spanischen Dateinamen und Anweisungen auf eine Kampagne für Unternehmen in Lateinamerika hindeuten. Der Security-Anbieter vermutet eine E-Kriminalitätsgruppe hinter der Kampagne.
Los ging es am vergangenen Freitag. CrowdStrike musste zugeben, dass ein routinemäßiges Update der Sensorkonfiguration, das am 19. Juli um 04:09 UTC (Universal Time Coordinated, früher auch offiziell als GMT – Greenwich Mean Time bezeichnet) auf die Falcon-Plattform für Windows-Geräte aufgespielt wurde, versehentlich einen Logikfehler auslöste, der zu einem Blue Screen of Death (BSoD) führte. Dadurch wurden zahlreiche Systeme funktionsunfähig und Unternehmen, die sie nutzen, kamen ins Trudeln.
Das Ereignis betraf Kunden, die Falcon Sensor für Windows 7.11 und höher verwenden und zwischen 04:09 und 05:27 Uhr UTC online waren.
Kriminelle waren schnell: Gefälschte CrowdStrike-Webseiten
Kriminelle Akteure haben das Chaos sofort ausgenutzt, indem sie gefälschte CrowdStrike-Webseiten (in Form von Typosquatting-Domains) erstellt haben. Über diese bieten sie betroffenen Unternehmen gegen Kryptowährungszahlungen ihre Dienste an. Kunden wird empfohlen, nur über offizielle Kanäle mit CrowdStrike zu kommunizieren und den Anweisungen des Supportteams zu folgen.
Microsoft, das mit CrowdStrike an der Lösung arbeitet, bemühte sich um Relativierung der digitalen Kernschmelze: „Nur“ 8,5 Millionen Windows-Geräte seien betroffen, weniger als ein Prozent aller Windows-Rechner weltweit.
Risiken in der Lieferkette
Diese Entwicklung, die das bislang schwerste Cyber-Ereignis der Geschichte markiert, verdeutlicht einmal mehr die Risiken von Lieferketten-Monokulturen. Immerhin: Zum ersten Mal wurden die wahren Auswirkungen und das tatsächliche Ausmaß eines Mega-Vorfalls offiziell bekannt gegeben. Mac- und Linux-Geräte waren von der Störung nicht betroffen. „Dieser Vorfall zeigt, wie vernetzt unser globales Ökosystem ist – von Cloud-Anbietern über Software-Plattformen bis hin zu Sicherheitsanbietern und Kunden“, so Microsoft. „Es erinnert uns daran, wie wichtig sichere Nutzung und Notfallwiederherstellung sind.“
Inzwischen hat Microsoft ein neues Wiederherstellungstool zur Verfügung gestellt, mit dem IT-Administratoren Windows-Rechner reparieren können, die von dem fehlerhaften CrowdStrike-Update von betroffen waren, beziehungsweise noch sind.
CrowdStrike hat außerdem einen neuen Remediation and Guidance Hub veröffentlicht, der als zentrale Anlaufstelle für alle Details im Zusammenhang mit dem Vorfall dient und Möglichkeiten auflistet, wie betroffene Rechner identifiziert und repariert werden können – einschließlich solcher, die mit BitLocker verschlüsselt wurden. Dieser Schritt folgt Berichten, wonach CrowdStrike-Updates alle Debian-Linux-Server in einem zivilen technischen Labor zum Absturz brachten und schwere Fehler im Betriebssystemkern (Kernel) von Red-Hat– und Rocky-Linux verursachten.
CrowdStrike teilte jetzt in einem Update mit, dass eine „beträchtliche Anzahl“ der 8,5 Millionen betroffenen Windows-Geräte wieder in Betrieb genommen wurde und betriebsbereit ist. Microsoft indes erklärte gegenüber dem Wall Street Journal, dass der Ausfall durch den Kernel-Level-Zugriff für die Endpoint Detection and Response (EDR)-Software verursacht wurde. Aufgrund einer Vereinbarung mit der Europäischen Kommission aus dem Jahr 2009 könne Microsoft diesen Zugriff nicht blockieren. Diese Vereinbarung soll sicherstellen, dass Hersteller von Sicherheitssoftware den gleichen Zugriff auf Windows haben wie Microsoft selbst.
Weitere Artikel zum Thema: